信息化觀察網(wǎng)

給你的公司領(lǐng)導(dǎo)層來場辦公室外的切身體驗，好讓他們知道自己預(yù)算決策的利害攸關(guān)部分是哪些。

2015 年夏末，我安排了一場和一家大客戶的場外研討會。我有兩個目標：一個是建立難忘的體驗，向管理層展示風險是如何轉(zhuǎn)化成網(wǎng)絡(luò)安全人員的策略和行動的。

而通過在公司財年的第四季度安排此事，第二個不太明顯的議程，就是確保這同一批決策者在討論我提出的下一財年安全預(yù)算時，非常清楚問題的癥結(jié)和重點。

至少對我的部門而言，之前大體上是紙上談兵的桌面爭論，就變成了董事會對自身開支決策的現(xiàn)實影響更為深刻的理解。

作為全球 CISO，我將年終歲尾視為在本年度強勢收尾的短期收益，與部署企業(yè)來年成功的戰(zhàn)略投資之間的平衡操作。

對很多 CISO 而言，能做的最大年末投資，就是橋接業(yè)務(wù)與技術(shù)利益相關(guān)者之間的鴻溝。所以我組織了與公司重要客戶之間的體驗之旅，重要到董事會和 CEO 很樂于花時間拜訪的那種大客戶。行程中包含我們外部咨詢團隊的一場展演，討論先進技術(shù)的實現(xiàn)若缺乏恰當?shù)陌踩胧?dǎo)致何種風險。

該活動帶來了短期和長期紅利。因為 CEO 和董事會獲得了更多的背景知識，他們?yōu)閬砟炅舫隽烁嗟陌踩A(yù)算。而且，由于參加活動的其他業(yè)務(wù)主管學到了更多關(guān)于安全的知識，整個公司也營造出了更具風險意識的文化。

CISO 和安全主管若想做出類似的投資以對抗安全疲勞，不妨看看我展示來年網(wǎng)絡(luò)安全投資重要性和贏取來年預(yù)算談判的五步藍圖。

1

當策劃者，不做執(zhí)行者

作為網(wǎng)絡(luò)安全主管，你自然想要為自己的部門爭取更多的預(yù)算，董事會和 CEO 都知道這一點。所以，你不能親自上陣主持這場體驗活動。我的建議是，把體驗活動外包給一家咨詢公司，或者與已有合作的團隊協(xié)作，由他們向董事會和 CEO 呈現(xiàn)這一體驗。

2

創(chuàng)建有影響力的議程

你或許不是體驗之旅的臺前主導(dǎo)，但不能將日程和節(jié)奏安排并一并委托了出去。體驗之旅的第一階段可以按如下標準安排：

1）提起興趣：你找的客戶或合作伙伴應(yīng)是公司 CEO 和董事會都認可，且想要與之互動的。

2）貼合公司業(yè)務(wù)：確保公司業(yè)務(wù)與您訪問的客戶之間有著充足的觸點。業(yè)務(wù)挑戰(zhàn)、行業(yè)等等，總有些東西是相關(guān)的。確保董事會和 CEO 能夠輕松將體驗之旅所得聯(lián)系回公司身上。

3）走出辦公室：記住，該投資是一場體驗。為你的 CEO 和董事會創(chuàng)建一場打破常規(guī)的活動，使之積極參與，印象深刻。

與第三方顧問緊密合作，但最終，你才是這場體驗的策劃者，向執(zhí)行層呈現(xiàn)公司面對的風險是你的職責。顧問可以幫助橋接空白和拉近演示與業(yè)務(wù)側(cè)利益相關(guān)者的關(guān)系。

3

直觀演示，不要干巴巴講解

下一步就是董事會會議室里的 “震撼教育” 了：給你的董事會和 CEO 直觀演示該公司技術(shù)若用于惡意目的會產(chǎn)生什么后果。如果去一家起重機公司，給他們看白帽子黑客如何侵入物聯(lián)網(wǎng)起重機。如果參觀一家聯(lián)網(wǎng)家居制造商，展示黑客如何秘密訪問 Nest 攝像機與家中主婦交談數(shù)小時。這可以讓你的 CEO 和董事會看到網(wǎng)絡(luò)威脅的直接影響，直觀感受到不緩解這些威脅和風險會給公司和客戶帶來的直接后果。

這是向董事會和 CEO 展示缺乏健壯網(wǎng)絡(luò)安全和網(wǎng)絡(luò)風險管理可致業(yè)務(wù)進展與創(chuàng)新幾乎全被抵銷的最佳機會。

4

直接要求

兩階段的實際體驗后，你就可以作為安全主管站到臺前了。向你的董事會和 CEO 闡述你和你的安全部門都在做些什么，將研討會截至目前累積起來的安全與風險認知變現(xiàn)。然后，清楚地直擊重點：告訴他們你需要確保公司和客戶不遭遇類似的被黑命運。

5

在哪兒增加開支

體驗之后，有兩個方向可供增加網(wǎng)絡(luò)安全項目開支：一個是事件響應(yīng)（以及劃歸 NIST CSF 響應(yīng)類別的一些活動：響應(yīng)規(guī)劃、溝通、分析、緩解和改善）；另一個是增加高管層可見性和報告。

記住你此項投資的重點：讓你的 CEO 和董事會關(guān)注網(wǎng)絡(luò)安全，將網(wǎng)絡(luò)提升到董事會和高管層討論的問題。我強烈建議不要談?wù)摬少徲忠豢罱K端工具什么的，要去講述你希望達成的效果：更具彈性和網(wǎng)絡(luò)意識的企業(yè)。

具體來說，投資紅藍隊事件響應(yīng)演習，無論是桌面推演還是全模擬演練，都會給你的董事會和 CEO 留下你已為真正的事件做好準備的直觀印象。后面再跟可增加網(wǎng)絡(luò)項目可見性的解決方案投資。這是你必須實現(xiàn)集成解決方案的地方，你得以此解決方案達成自動化報告，在商業(yè)語境中為公司董事和高管直觀呈現(xiàn)你的網(wǎng)絡(luò)項目。

進入第四季度，用完年度預(yù)算很重要，同樣重要的是有效使用你的年度預(yù)算。投資此類體驗可轉(zhuǎn)變公司管理層看待網(wǎng)絡(luò)安全的態(tài)度，打破慣常的安全疲勞。只要執(zhí)行恰當，該短期及長期受益將改善公司風險態(tài)勢，幫助公司領(lǐng)導(dǎo)做出更明智的安全開支決策。